Hola!! Estoy configurando un firewall con iptables utilizando la politica por defecto DROP y he seguido muchos manuales pero ninguno parece funcionar. En mi caso solo quiero permitir desde mi red determinados servicios como www,http,ftp y solo quiero permitir conexiones a mi red por ssh. Eth0 es la interfaz conectada a mi LAN y eth1 la conectada al router. Adjunto mi configuracion con iptables por si alguien me puede ayudar o aconsejar algún manual que funcione.
#!/bin/sh ## SCRIPT DE IPTABLES ## GRACIELA #Borrar la tabla anterior iptables -t filter --flush iptables -t nat --flush iptables -t mangle --flush iptables -t filter --delete-chain iptables -t nat --delete-chain iptables -t mangle --delete-chain /etc/init.d/iptables clear echo -n Aplicando reglas de firewall ... ## FLUSH de reglas iptables -F iptables -X iptables -Z iptables -t nat -F ## Establecemos politica por defecto iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT #A nuestro firewall tenemos acceso total desde nuestra ip iptables -A INPUT -s 192.168.0.2 -j ACCEPT iptables -A OUTPUT -s 192.-j ACCEPT #Para el resto no hay acceso al firewall iptables -A INPUT -s 0.0.0.0/0 -j DROP #Permitimos conexion de loopback iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT # Aceptamos que vayan a puertos 80 iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A OUTPUT -p udp --sport 80 -j ACCEPT # Aceptamos que vayan a puertos https iptables -A INPUT -p tcp --dport 443 -j ACCEPT && echo " regla-7 OK" iptables -A OUTPUT -p tcp --sport 443 -j ACCEPT && echo " regla-8 OK" # SALIDA FTP - Para conectar con FTPs iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT && echo " regla-19 OK" iptables -A OUTPUT -p tcp --sport 20:21 -j ACCEPT && echo " regla-20 OK" # Ahora hacemos enmascaramiento de la red local # y activamos el BIT de FORWARDING (esto es imprescindible) iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE && echo " regla-22 OK" # Con esto permitimos hacer forward de paquetes en el firewall, o sea # que otras maquinas puedan salir a traves del firewall echo 1 > /proc/sys/net/ipv4/ip_forward && echo " regla-23 OK" #Permitimos acceso del exterior por ssh iptables -A INPUT -s 0.0.0.0/0 -p tcp --sport 22 -j ACCEPT && echo " reglas-24-1 OK" iptables -A INPUT -s 0.0.0.0/0 -p udp --sport 22 -j ACCEPT && echo " reglas-25-1 OK" # Cerramos el rango de puerto bien conocido iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 1:1024 -j DROP && echo " regla-24 OK" iptables -A INPUT -s 0.0.0.0/0 -p udp --dport 1:1024 -j DROP && echo " regla-25 OK" echo " OK. Verifique que lo que se aplica con: iptables -L -n" #Norma general iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE #Habilitar el forwarding para que funcionen todas las reglas FORWARD, POSTROUTING Y PREROUTING echo 1 > /proc/sys/net/ipv4/ip_forward #Lo grabo en un fichero /etc/init.d/iptables save active4 # Fin del script -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
